新的Gigabud Android RAT针对金融组织绕过2FA身份认证

Gigabud银行木马的出现威胁全球金融机构。Gigabud引入了新一波复杂的网络危险。Gigabud已针对多个国家的至少 25 家公司、金融机构和政府部门。Gigabud恶意软件可以巧妙地规避双因素身份验证(2FA)。金融机构面临着来自Gigabud集中攻击的日益严重的威胁。Gigabud.Loan变体表现为虚假贷款申请,以低息贷款承诺引诱受害者。Gigabud的崛起凸显了金融网络威胁不断变化的格局。

一种名为Gigabud的新型银行木马已成为强大的对手,对全球金融机构构成持续的威胁。Gigabud最初是一种Android远程访问木马(RAT),于2022年9月首次引起安全专家的注意,当时它的目标是一家总部位于泰国的金融组织及其在亚太地区的客户。

Group-IB的专家应客户的要求对恶意软件进行了全面分析,以破译其复杂的策略。Gigabud的显着特征是其执行恶意操作的谨慎态度。

与渗透后立即采取行动的传统恶意软件不同,Gigabud在恶意应用程序中等待用户授权,这一策略使其难以捉摸。Gigabud不依赖HTML覆盖攻击,而是使用屏幕录制来收集敏感信息,这进一步使其检测复杂化。

Gigabud的一项突出功能是它使用辅助服务,这使得它能够远程在受害者的设备上执行操作。这种称为“TouchAction”的功能使攻击者能够在用户的设备上执行手势,从而使他们能够逃避防御机制,包括双因素身份验证(2FA)。

Gigabud RAT针对多个国家的至少25家公司、金融机构和政府部门,旨在模仿他们的身份并欺骗用户。

研究人员还在Gigabud家族中发现了一个类似的威胁:Gigabud.Loan。这种变体表现为虚假的贷款申请,以低息贷款的承诺引诱受害者。一旦用户使用该应用程序,他们就会被迫提供敏感的个人信息,这些信息随后可能被威胁行为者利用。

Gigabud.Loan的作案手法涉及冒充泰国、印度尼西亚和秘鲁等多个国家的虚构金融机构。

Gigabud.RAT和Gigabud.Loan的分发策略都以网络钓鱼网站为中心。这些网站通过“诈骗”等策略进行传播,即通过即时通讯工具、短信或社交网络向受害者发送误导性消息,将他们引导至恶意链接。在某些情况下,恶意软件甚至直接通过WhatsApp等平台上的消息传播。

2022年至2023年间,Group-IB的研究人员使用先进的狩猎技术检测到了400多个Gigabud RAT样本和20多个Gigabud.Loan样本。

为了应对Gigabud带来的威胁,Group-IB建议采取多管齐下的防御策略。组织应优先考虑主动监控用户会话,优先考虑对客户进行安全在线实践教育,并采用数字保护工具。

反过来,建议用户在点击链接时要小心,不要下载有风险的应用程序,并在公共Wi-Fi网络上使用可靠的VPN。

发表评论

评论已关闭。

相关文章